ความปลอดภัยเป็นสิ่งสำคัญเมื่อคุณเรียกใช้เซิร์ฟเวอร์ของคุณเอง คุณต้องการให้แน่ใจว่ามีเพียงผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงเซิร์ฟเวอร์การกำหนดค่าและบริการของคุณ
ใน Ubuntu มีไฟร์วอลล์ที่โหลดไว้ล่วงหน้า มันเรียกว่า UFW (Uncomplicated Firewall) ถึงแม้ว่า UFW จะเป็นไฟร์วอลล์พื้นฐานที่สวยงาม แต่ก็เป็นมิตรต่อผู้ใช้และสามารถกรองปริมาณการใช้งาน ความรู้พื้นฐานเกี่ยวกับลินุกซ์บางอย่างควรเพียงพอที่จะกำหนดค่าไฟร์วอลล์นี้ด้วยตัวคุณเอง
ติดตั้ง UFW
ขอให้สังเกตว่าโดยทั่วไปแล้วจะติดตั้ง UFW ตามค่าเริ่มต้นใน Ubuntu แต่ถ้ามีอะไรคุณสามารถติดตั้งได้ด้วยตัวเอง ในการติดตั้ง UFW ให้รันคำสั่งต่อไปนี้
sudo apt-get install ufw
อนุญาตการเชื่อมต่อ
หากคุณใช้งานเว็บเซิร์ฟเวอร์คุณต้องการให้โลกสามารถเข้าถึงเว็บไซต์ของคุณได้ ดังนั้นคุณต้องแน่ใจว่าพอร์ต TCP เริ่มต้นสำหรับเว็บเปิดอยู่
sudo ufw allow 80/tcp
โดยทั่วไปคุณสามารถอนุญาตพอร์ตใด ๆ ที่คุณต้องการโดยใช้รูปแบบต่อไปนี้:
sudo ufw allow <port>/<optional: protocol>
ปฏิเสธการเชื่อมต่อ
หากคุณต้องการปฏิเสธการเข้าถึงพอร์ตใดพอร์ตหนึ่งให้ใช้สิ่งนี้:
sudo ufw deny <port>/<optional: protocol>
ตัวอย่างเช่นลองปฏิเสธการเข้าถึงพอร์ต MySQL เริ่มต้นของเรา
sudo ufw deny 3306
UFW ยังรองรับไวยากรณ์ที่ง่ายขึ้นสำหรับพอร์ตบริการทั่วไป
root@127:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)
ขอแนะนำอย่างยิ่งให้ จำกัด การเข้าถึงพอร์ต SSH ของคุณ (โดยค่าเริ่มต้นคือพอร์ต 22) จากทุกที่ยกเว้นที่อยู่ IP ที่เชื่อถือได้ของคุณ (ตัวอย่าง: สำนักงานหรือที่บ้าน)
อนุญาตการเข้าถึงจากที่อยู่ IP ที่เชื่อถือได้
โดยทั่วไปคุณจะต้องอนุญาตให้เข้าถึงเฉพาะพอร์ตสาธารณะที่เปิดเช่นพอร์ต 80 การเข้าถึงพอร์ตอื่น ๆ ทั้งหมดจะต้องถูก จำกัด หรือ จำกัด คุณสามารถทำรายชื่อที่อยู่ IP / ที่บ้านของคุณ (ควรเป็น IP แบบคงที่) เพื่อให้สามารถเข้าถึงเซิร์ฟเวอร์ของคุณผ่าน SSH หรือ FTP
sudo ufw allow from 192.168.0.1 to any port 22
ลองอนุญาตการเข้าถึงพอร์ต MySQL
sudo ufw allow from 192.168.0.1 to any port 3306
ดูดีขึ้นแล้ว ไปกันเถอะ
เปิดใช้งาน UFW
ก่อนที่จะเปิดใช้งาน (หรือเรียกคืน) UFW คุณต้องตรวจสอบให้แน่ใจว่าพอร์ต SSH ได้รับอนุญาตให้รับการเชื่อมต่อจากที่อยู่ IP ของคุณ ในการเริ่ม / เปิดใช้งานไฟร์วอลล์ UFW ของคุณใช้คำสั่งต่อไปนี้:
sudo ufw enable
คุณจะเห็นสิ่งนี้:
root@127:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?
พิมพ์Yจากนั้นกดEnterเพื่อเปิดใช้งานไฟร์วอลล์
Firewall is active and enabled on system startup
ตรวจสอบสถานะ UFW
ดูกฎทั้งหมดของคุณ
sudo ufw status
คุณจะเห็นผลลัพธ์คล้ายกับต่อไปนี้
sudo ufw status
Firewall loaded
To Action From
-- ------ ----
22:tcp ALLOW 192.168.0.1
22:tcp DENY ANYWHERE
ใช้พารามิเตอร์ "verbose" เพื่อดูรายงานสถานะโดยละเอียดเพิ่มเติม
sudo ufw status verbose
ปิดใช้งาน / โหลด / รีสตาร์ท UFW
หากต้องการปิดใช้งาน (หยุด) UFW ให้เรียกใช้คำสั่งนี้
sudo ufw disable
หากคุณต้องการโหลด UFW (กฎการโหลดซ้ำ) ให้เรียกใช้สิ่งต่อไปนี้
sudo ufw reload
ในการเริ่มต้น UFW ใหม่คุณจะต้องปิดใช้งานก่อนจากนั้นจึงเปิดใช้งานอีกครั้ง
sudo ufw disable
sudo ufw enable
อีกครั้งก่อนเปิดใช้งาน UFW ตรวจสอบให้แน่ใจว่าอนุญาตให้ใช้พอร์ต SSH สำหรับที่อยู่ IP ของคุณ
การลบกฎ
ในการจัดการกฎ UFW ของคุณคุณต้องแสดงรายการเหล่านั้น คุณสามารถทำได้โดยตรวจสอบสถานะ UFW ด้วยพารามิเตอร์ "numbered" คุณจะเห็นผลลัพธ์คล้ายกับต่อไปนี้
root@127:~$ sudo ufw status numbered
Status: active
To Action From
-- ------ ----
[ 1] 22 ALLOW IN 192.168.0.1
[ 2] 80 ALLOW IN Anywhere
[ 3] 3306 ALLOW IN 192.168.0.1
[ 4] 22 DENY IN Anywhere
สังเกตเห็นตัวเลขในวงเล็บเหลี่ยมหรือไม่ ตอนนี้หากต้องการลบกฎเหล่านี้คุณจะต้องใช้หมายเลขเหล่านี้
sudo ufw delete [number]
การเปิดใช้งานการสนับสนุน IPv6
หากคุณใช้ IPv6 บน VPS ของคุณคุณต้องตรวจสอบให้แน่ใจว่ารองรับ IPv6 ใน UFW หากต้องการทำเช่นนั้นให้เปิดไฟล์กำหนดค่าในโปรแกรมแก้ไขข้อความ
sudo nano /etc/default/ufw
เมื่อเปิดแล้วตรวจสอบให้แน่ใจว่าIPV6
ได้ตั้งค่าเป็น "ใช่":
IPV6=yes
หลังจากทำการเปลี่ยนแปลงนี้แล้วให้บันทึกไฟล์ จากนั้นเริ่มต้น UFW ใหม่โดยปิดใช้งานและเปิดใช้งานอีกครั้ง
sudo ufw disable
sudo ufw enable
กลับไปที่การตั้งค่าเริ่มต้น
หากคุณต้องการกลับไปที่การตั้งค่าเริ่มต้นเพียงพิมพ์คำสั่งต่อไปนี้ การดำเนินการนี้จะคืนค่าการเปลี่���นแปลงของคุณ
sudo ufw reset
ข้อสรุป
โดยรวมแล้ว UFW สามารถปกป้อง VPS ของคุณจากความพยายามในการแฮ็คที่พบบ่อยที่สุด แน่นอนมาตรการรักษาความปลอดภัยของคุณควรมีรายละเอียดมากกว่าแค่ใช้ UFW อย่างไรก็ตามมันเป็นการเริ่มต้นที่ดี (และจำเป็น)
หากคุณต้องการตัวอย่างเพิ่มเติมของการใช้ UFW คุณสามารถอ้างถึงUFW - ความช่วยเหลือของชุมชนวิกิพีเดีย